「プロによる脆弱性診断」と「柔軟に導入できるWAF」が、クラウドIoT基盤のセキュリティを支える

産業用IoT基盤のクラウド化により発生したセキュリティ課題とは？

茂木氏・内野氏・佐藤氏が所属するLCBDX部の、「LCB」はIHIの造語で「Life Cycle Business」の略称。同部では製品を作って販売したあとの製品ライフサイクル全般を通じて顧客の価値を高める、DX推進ビジネスに取り組んでいる。

ライフサイクルビジネス推進グループ（以下、LCB推進グループ）のデータ分析チームで、稼働データの分析を主に扱い、分析した結果をもとに情報利活用やSUB（戦略事業単位）に対するコンサルテーションを行っている茂木氏。「ILIPS」のネットワークやセキュリティなど、インフラ周りを担当する内野氏。茂木氏と同じデータ分析チームに在籍し、既存技術を応用した新技術の開発や企画のほか、運用保守を担当している佐藤氏。茂木氏のチームで開発を手がけた異常診断ツール「I-ASTA」の特徴について、茂木氏は語る。

 

 

「『I-ASTA』はプラントなどの機械設備の情報を遠隔から取得し、その情報から設備に異常が発生しているかを分析するツールです。AIや機械学習を活用した異常診断アルゴリズム開発からツール実装までを一貫してわれわれのチームで行っています。当社が製品を提供している、航空機エンジンや石炭焚きボイラなどをはじめとした産業機械分野では、設備を止めてメンテナンスを行うには大きなコストが発生するため、メンテナンスを提案する際には診断についての十分な説明が求められます。そこで、AIや機械学習を活用した高度な分析を行うため、IHIグループ共通IoTシステム『ILIPS』を基盤とした『I-ASTA』をIHIエスキューブとともに開発しました」（茂木氏）

当初は社内用の基盤として利用されていた「ILIPS」だが、顧客側でも機械学習を使った診断結果を確認したいというニーズが増したため、クラウド上で稼働するWebアプリ「ILIPS Web」へと移行された。そのためにセキュリティ上の課題に向き合ったという。

IHIではグループ共通の「IHIグループ情報セキュリティポリシー」を制定し、この方針に則って開発・設計を行っている。部門や製品ごとのセキュリティ責任者は、セキュリティポリシーに適合したセキュリティが担保されているか確認しているという。「一般的な情報もありますが、防衛や原子力など秘匿性の非常に高いデータも包括的に扱えるようにするため、セキュリティは非常に高く設定しないとなりません」と茂木氏は語るようにIHIグループが扱う事業領域の広さがゆえ、求められるセキュリティはかなり高いと茂木氏は説明する。

「プラントなどの設備稼働データは高いセキュリティを担保すべき重要な情報です。顧客がWeb経由で診断結果を閲覧できるようにするためには、より高いセキュリティを確保するための対策を練る必要があります」（茂木氏）

巨大グループならではのセキュリティ課題にScutumと脆弱性診断を

IHIのような巨大規模の事業体においては、各部門がセキュリティ対策を個別に行うことは現実的ではない。共通プラットフォームを活用し、セキュリティへの投資を集中させることが、セキュリティ課題解決のアプローチだと内野氏は語る。

 

 

「IHIは多様な製品やサービスを扱う企業のため、各部門がそれぞれ独自のシステムや画面を開発してしまうと、セキュリティ対策への投資が分散するリスクが生じます。この課題に対応するために、IHIでは共通のプラットフォームである『ILIPS Web』を活用しています。データ可視化の部分や標準的な機能を一括して扱う『ILIPS Web』に対して、脆弱性診断を毎年定期的に実施したり、クラウド型WAF「Scutum」を導入したりして、セキュリティの強化と投資の効率化とを図っています」（内野氏）

また、佐藤氏はセキュリティの担保は顧客へ分析データを利用するうえでの重要な課題だと位置づける。

「データ分析担当者として、利用者に必要なタイミングで安全な情報を提供することが課題だと考えています。分析は目的ではなく手段であり、利用者が必要とする形にデータを加工し提供して、利用できるようにするうえで、安全安心がとても重要になります。クラウドサービス化で顧客が直接使えるようになり、セキュリティの担保はさらに重要な課題になっています」（佐藤氏）

脆弱性診断の結果を開発にフィードバックし、セキュアな開発が持続できるように、脆弱性診断の実施を前提として開発スケジュールに組み込んでいるという。

「毎年継続的に実施している外部からの脆弱性診断の結果によって、対応が必要となる改修もありますので、診断日程を開発スケジュールに組み込むなど、対応に必要な開発日程を確保できるようにしていますが、常に迅速な対応が求められています」（茂木氏）

導入基準は「脆弱性への技術的な指摘」「WAF性能に対する説明性」

IHIおよびIHIエスキューブでのScutumの導入は2015年から、SSTでの初めての脆弱性診断は2017年から始まり、今回お話をうかがった3氏が現在の部署に所属する以前から利用されていた。茂木氏が初めてSSTへ脆弱性診断を依頼した際は、「当時はPMとして開発指揮を執っていて、脆弱性診断をする必要があったため社内の関係者に依頼先を聞いたところ、SSTを紹介されました」とその経緯を語る。脆弱性診断およびWAFに求める基準についてうかがった。

「外部公開する情報システムである以上、『セキュアに作りました』と単に提示するだけでは不十分で、利害関係のない第三者が適切な診断を行い、その結果を証明書として顧客に示すことが不可欠です。SSTの脆弱性診断結果報告書には、脆弱性の有無のほか問題への技術的な指摘がある点を重視しています。早急な対策は不要だが注意すべき点などが挙げられていると、開発に必要な情報として取り込めますので、とても助かっています。何が狙われて攻撃されやすいかという知識を得られて、気づかされることも多かったです」（茂木氏）

「『Scutum』はプロジェクトの規模に応じて柔軟に導入できるという点が、導入側にとっては大きなメリットだと思います。セキュリティ基準が厳しく求められる一方で、潤沢に予算をかけられないプロジェクトの初期段階でも、『Scutum』なら帯域を調整しながら対応できます。情報セキュリティ部門が他社のWAFと性能を比較したうえで基準をクリアしていますし、WAFを提供する企業の提示情報からWAF性能についての説明性が担保されていることが、選定理由として大きいと思っています」（内野氏）

“プロの診断を受けないと気づかないところがある”と痛感

機密情報を取り扱うため、内部でのセキュリティ対策にも力を入れている。「仕様に立ち入ってチェックをして、修正を行うエンジニアといっしょに試験方案レビューも行って、セキュリティの品質を高めようと心がけています」と語る茂木氏が、SSTの脆弱性診断の結果を聞いて驚いたことがあるという。

「以前の診断時にSQLインジェクションのリスクを耳に入れていたため、IPAガイドラインなどに則って対策をしたプログラムへと修正し、試験方案レビューでチェックしていました。ところが、直近の脆弱性診断の結果、対策をしたとばかり思っていた箇所に脆弱性が見つかったという報告を受けて驚きました。SSTで細かなテストを手動で行ったところ対策漏れが見つかったと分かり、プロの診断を受けないと気づかないところがあるのだと痛感しました。そのおかげで、現在はいっそう強固なセキュリティを実現できています」（茂木氏）

「Scutum」導入を担当した佐藤氏は、導入後にScutumのログを確認したときの印象を次のように語ってくれた。「ディレクトリトラバーサル攻撃やSQLインジェクションなどの攻撃が数多く記録されており、WAFが効果的に機能していることを実感した」と語る。

 

 

「WAFのログを見ることで、知らないところで情報資産を守る”縁の下の力持ち”としてのWAFの存在を認識できます。自社の情報資産が狙われているという事実と、それに対してWAFが確実に機能しているという実感が、セキュリティ担当者にとって大きな安心につながります。WAFの役割は、通常はその存在を意識させないようにすることですが、ログを確認するその重要性を再認識できますね」(佐藤氏)

また佐藤氏からは「診断中に生じたトラブルにも関係者を交えて緊急でミーティングを行ったり、『他社の事例ではこのようにすると解決できた』といった具体的な事例を交えて、解決に当たってくれました。持てるノウハウを惜しみなく活用してくれる姿勢に、非常に感動しました」と、SSTのサポート品質や体制についてのエピソードも語ってくれた。

SSTに求めるのは、常に進化するセキュリティ対策の“水先案内人”としての役割

セキュリティ対策は、一度確立して終わりではない。常に進化し続ける必要があり、最新の動向や技術トレンドを把握し、適切に対応していくことが重要となる。「全社のセキュリティガイドラインや指針に則って対応を行ったり、ISMSの外部監査による指摘を参考にしたりしていますが、それだけでは不十分だと考えています」と茂木氏は語る。3氏に今後同社が求められるセキュリティと、セキュリティ企業に求める役割についてうかがった。

「新たな攻撃に対する対策はもちろん、認証認可の分野では多要素認証が必須になるという予測や、Webアプリの作り方も現状のセキュリティポリシーに基づいたものでは古くなってしまうだろうといった今後の動向を、専門家の見地から意見をもらえるとありがたいです。当然私たち自身でも調査はしていますが、それだけでは新たなセキュリティニーズに対応するのは難しくなっています」（茂木氏）

「セキュリティは完璧を目指せば目指すほど、予算も手間も際限がなくなります。データ分析の立場からすると、セキュリティを高めることだけに重きをおくのではなく、分析の先に生み出す価値を提供したいので、セキュリティについては最小限の対応で最大効果を追求できればと思います」（佐藤氏）

「現状では開発チームが対策を行う際、内部監査での指摘や情報セキュリティ部門からトップダウンによる指示が主なきっかけとなっています。そのため、開発チームの対応が後手後手になりがちです。もし、SSTのような外部の専門家から直接、新しい製品のアップデートや追加機能などの情報提供があれば、実行部隊はそれを活用して自律的に対策を実施できるようになると思っています。SSTにはその情報のパイプ役を期待したいです」（内野氏）

 

 

 

---

 

株式会社IHIについて

https://www.ihi.co.jp/

1853年創設の「石川島造船所」を起源とするIHIは、造船で培った技術をもとに陸上機械、橋梁、プラント、航空エンジンなどに事業を拡大し、日本の近代化に大きく貢献。現在はグローバルに事業展開する総合重工業グループとして、「資源・エネルギー・環境」「社会基盤」「産業システム・汎用機械」「航空・宇宙・防衛」の4つの事業分野を中心に新たな価値を提供しています。